19:38
21/1/2010

roEFS.pl to rządowy serwis Krajowego Ośrodka Europejskich Funduszy Społecznych EFS. We wtorek crackerzy podmienili mu główną stronę (i nie wiadomo co jeszcze). Do dziś żadne informacje na temat włamania nie znalazły się na stronie EFS. Zapytaliśmy więc opiekunów serwisu, czy z serwera zostały wykradzione jakieś dane, czy skończło się tylko na samym deface.

Krajowy Ośrodek EFS defaced

We wtorek, nasz czytelnik Andrzej Drewutnia podesłał przez formularz kontaktowy informację, że od godziny 13:00 do 15:30 serwis ROEFS.pl witał internautów taką wiadomością:

Podmieniona strona główna serwisu roefs.pl

Według informacji Andrzeja, po 15:30 strona ROEFS.pl “zaczęła wyrzucać błędy MySQL”. Andrzej zastanawiał się co crackerzy wykradli z serwera i jak się na niego dostali:

Roefs wygląda na rozbudowany międzywojewódzki ośrodek, nigdzie nie ma jednak informacji ile danych beneficjentów gromadzą i w jakiej formie przechowują. Żadnego komentarza ze strony administracji w sprawie incydentu, tak jakby w ogóle sytuacja nie miała miejsca. Chyba niewygodny fakt lepiej im przemilczeć… I nie miałbym nic do tego gdyby nie byli instytucją rządową związaną z ogromnymi pięniedzmi z UE.

Tego samego dnia na undernetowych kanałach IRC-owych pojawiły się wypowiedzi zawierające słowa “mysql dump” i “polish gov fucked“. Chcemy wierzyć, że to przypadek i nie chodzi tu o dane przechwycone przy pomocy ataku na ROEFS.pl lub/i jakiejś innej rządowej strony, o ataku na którą nie mamy pojęcia… Przypomnijmy, że Iranian Cyber Army znana jest m.in. z ostatniego ataku na Baidu.com i Twittera, więc trzeba przyznać, że chłopaki mają niezłe uderzenie.

Mętne tłumaczenia ROEFS-u…

Postanowiliśmy zapytać co się stało, zarówno sam ROEFS, jak i firmę cyberstudio.pl, która wykonała projekt serwisu. Oto, jakie pytania wysłaliśmy do obu instytucji:

  1. Jak doszło do włamania?
  2. Kto jest odpowiedzialny za błąd? Administrator serwera czy wykonawca projektu, firma cyberstudio.pl?
  3. Jakie dane (i czy w ogóle jakieś) wpadły w ręce włamywaczy?

Firma Cyberstudio.pl nie udzieliła nam żadnych odpowiedzi. Aktualizacja 22.01.2010: Cyberstudio.pl odpowiedziało na trzy powyższe pytania w następujący sposób:

Owszem wykonaliśmy takową stronę, jednak nie prowadzimy jej administracji.

ROEFS wypadł niewiele lepiej… Piotr Pijas z Krajowego Ośrodka EFS w odpowiedzi na nasze pytania napisał (pisownia oryginalna):

W dniu 19/01/2010 nastąpił atak hackerów, podających się za Iranian Cyber Army, na strony w domenie roEFS.pl. W dniu wczorajszym w godzinach popołudniowych trwały prace nad przywróceniem poprawnego funkcjonowania tych stron. Obecnie wszystkie strony funkcjonują poprawnie. Atak hackerów nie pozostawił żadnych skutków. Dzięki zainstalowanym zabezpieczeniom hackerom jedynie udało się zmienić pliki stron internetowych. Nie doszło do modyfikacji plików systemowych.

Hacked czy nie hacked? PR ma pytanie…

Nie wiemy więc, czy luka, którą wykorzystali crackerzy z Iranian Cyber Army znajdowała się w oprogramowaniu serwera, czy w samej webaplikacji — dlatego spróbujmy przeanalizować oba przypadki.

Jeśli chodzi o serwer, to warto zwrócić uwagę, że na tym samym adresie IP co zaatakowana strona, znajduje się także rządowa strona cpe.gov.pl i kilkadziesiąt innych serwisów.

Dane tych serwisów też mogły wpaść w ręce włamywaczy, ponieważ wszystkie współdzielą ten sam serwer.

Gdyby jednak okazało się, że milczenie firmy cyberstudio.pl wynika z faktu, iż to właśnie w napisanej przez nich aplikacji znajduje się błąd, który wykorzystali włamywacze, zagrożone atakiem mogą być kolejne serwisy. Wśród nich interesujące jest lotnisko w Gdyni i nie mniej strategiczna stronka Mietka Szcześniaka ;-)

Apokalipsa w przypadku projektów Cyberstudio.pl oczywiście będzie miała miejsce tylko pod warunkiem, że Cyberstudio.pl współdzieli “nawyki” programistyczne i fragmenty kodu w swoich projektach — a takie mamy wrażenie, bo większość z zaprojektowanych przez tą firmę serwisów korzysta z takiego samego CMS-a…

W przypadku dojścia odpowiedzi od firmy Cyberstudio.pl, zaktualizujemy ten tekst.

Brak reakcji, to zła reakcja

Jedyne przemyślenia, jakie mamy na skutek powyższych wydarzeń, to: “na incydenty trzeba umieć reagować“. Brak reakcji, to w tym przypadku zła reakcja. A taką mieliśmy nadzieję, że po tym jak Google dało dobry przykład, coś na świecie i w Polsce się zmieni…

Przeczytaj także:


22 komentarzy

Dodaj komentarz
  1. Proponuje autorowi nauke odrozniania crackerow od hackerow.

  2. Jeżeli to luka w CMS’ie to lawinowo powinny posypać się strony Cyberstudio, jednak z tego co widziałem, to nie w każdym projekcie bazują na tym samym CMSie, ba na razie nie znalazłem dwóch podobnych (ale przejrzałem dopiero 20 stron z portfolia.)

  3. Włamali się przedstawili i poszli sobie. Oczywiście na stronę w kraju Polskim którego obywatele nie popierają polityki “szacunku i miłości” jedynie słusznych sojuszników jak USA cz Izrael (nie liczyć polskiego rządu który smaruje się wazeliną by tylko w tyłek tym krajom wleźć). Zakładam, że tych z Iran Cyber Armii będzie się chciało szukać tak jak kiedyś broni chemicznej w Iraku…
    Obyśmy mieli nadzieję, że IP komputerów tych hakerów nie jest bardzo podobne z IP komputerów z pentagonu.

  4. Glupio, ze nas zaatakowali i ze im sie udalo.
    No ale moze bediz ejakas akcja odwetowa?

  5. Ale 15.01 wprowadzali aktualizacje:aktualizacja abeon.cms do wersji 2.1
    Udostępniamy system abeon.cms w wersji 2.1, do której wprowadziliśmy wiele udoskonaleń programistycznych, mających na celu poprawę jakości działania.

    Znaczy mogło się coś sypnąć

  6. Trochę to dziwne, że po baidu i twitterze zajęli się takim, że tak napiszę słabiutkim celem. Myślę, że to jednak prowokacja Polaków :]

  7. Będzie, w odwecie wyślemy im żołnierzy na misje pokojową…

  8. @Borys
    Wygląda jak prowokacja, jednak biorąc pod uwagę za iranian cyber army prowadzi aktywny nabór chętnych możliwe, że jednak na prawdę jakiś członek mniej rozgarnięty se zaszalał, opcji jak to bywa jest wiele:
    może zwolniony pracownik dla potomnych coś zostawił
    może prowokacja żeby zrobić szum medialny
    może gawiedź z IRC’a sie wygłupia
    może 4chan szaleje
    może wykop.pl prowadzi “badania”
    może jakaś pozostałość po atakach na coś większego?
    Google też nie od razu się przyznało, nie wiemy ile czasu wiedzieli że padli ofiarą, może ABW/CBA/FSB, czy z czym tam oni byli powiązani, dziś przekazuje ICA ścieżką boczną i nie świadomie ruch.
    W sumie ciekawa sprawa, ale warto nieco dystansu do tego zachować.

  9. Borys: osobiście, też tak myślę… zwłaszcza, że ICA do tej pory atakowała w zupełnie inny sposób (DNS).

  10. Google to trochę większy gracz od cyberstudio.pl. Brak komentarza w przypadku Google może nie zachwiał by ich pozycją na rynku (giełdzie), ale trochę mogli by stracić. W przypadku cyberstudio.pl nie sądzę, że ich obecni czy przyszli klienci w ogóle dowiedzą się o tym incydencie.

  11. Guzik: Jak to? Ja jestem pewien, że Mietek Szczęśniak piosenkę o tym ułoży :]

  12. minona: popieram,
    jak dla mnie cała sprawa z ICA bardzo pachnie CIA bądz też samym Izraelem. 0x410x410x41łć

  13. Przeciez to Izrael organizuje te ataki, żeby przyspieszyc interwencje w Iranie.

  14. EFS – Europejski Fundusz SPOŁECZNY! (żadne strukturalne)

  15. ojjj ;) już was zapewniam że odwet będzie :) zemsta słodka będzie :D

    http://www.google.com/intl/fa/#hl=fa&q=site%3Agov.ir&lr=lang_fa&fp=26e8c13c3cf1b84e

    trochę tego maja :) wiec jest co atakować, większość serwerów – windows :)

  16. Fir3: proszę! nie rób tego. Albo przynajmniej nie przyznawaj się, że mówimy tym samym językiem.
    Skąd Wy się urywacie?

  17. guzik: Fir3, czyli łukasz siwka to akurat się urwał z Namysłowa ;)

    Polecam nie zwracać na niego uwagi, on dużo gada.

  18. Proponuję autorowi naukę!!!

  19. Naukę czego?

  20. To się tyczy pierwszego komentarza, który mnie urzekł zacnie.
    Proponuję aż i zarazem naukę. Po prostu ;]

  21. Już nie ma przecież różnicy między hakerami i krakerami ;]

    Media wygrały.

  22. […] więc na to, że sporo osób lubi podszywać się pod Iranian Cyber Army… […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: